Paweł Goleń, blog

Przed chwilą wróciłem ze spotkania SPINu, na którym miałem okazję mówić różne dziwne rzeczy, mam nadzieję, że ciekawe. Być może efektem ubocznym będzie kilka nowych wpisów na blogu. Po raz kolejny złapałem się na tym, że mówiąc o rzeczach oczywistych dla mnie i mojego środowiska, mogę jednocześnie mówić o rzeczach abstrakcyjnych dla innych. To chyba pokazuje, że musimy się częściej spotykać :)

Ważną rzeczą, którą chciałem przekazać jest to, że bezpieczeństwa aplikacji nie buduje się poprzez jej testowanie i przyklejanie kolejnych łatek w miejscach znalezienia i wskazania błędu. I tylko w tych miejscach. Bezpieczeństwo buduje się przez zmianę procesu tworzenia aplikacji, w którym różne testy bezpieczeństwa to tylko jeden z elementów układanki. Ważny, ale nie jedyny.

Być może spotkamy się po raz kolejny, tym razem na czymś w rodzaju prostych warsztatów. Tymczasem zapraszam do zapoznania się z moim krótkim przewodnikiem po bezpieczeństwie aplikacji internetowych. Od czegoś trzeba zacząć :) Jestem otwarty na wszelkie pytania, a może i w rezultacie pojawią się jakieś kolejne lekcje?

Oryginał tego wpisu dostępny jest pod adresem Po spotkaniu SPINu

Autor: Paweł Goleń

Tekst Co identyfikuje rachunek czyli ile cyfr (nie)wystarczy powstał już jakiś czas temu. Ostatnio temat ten ponownie się pojawił, a to w związku z niezbyt dobrze przyjętym artykułem Inteligo chciało dobrze, a wyszło jak zwykle oraz wpisem jego autora: Do czego jest dany token (polecam komentarze). Poruszany przeze mnie temat kolizji podjął ^rozie, czego rezultatem jest jego wpis Ile cyfr potrzeba, by numer konta był unikatowy? To tak w ramach kilku poczytajek dla zabicia czasu :)

PS: O, i jeszcze to: Bankowość internetowa.

Oryginał tego wpisu dostępny jest pod adresem Ile cyfr (nie)wystarczy II

Autor: Paweł Goleń

Jakiś czas temu pojawiły się zapowiedzi, że Acrobat Reader w kolejnej dużej wersji będzie miał piaskownicę. Pomysł doskonały, ilość błędów w obsłudze plików PDF była w ostatnim czasie zatrważająca. I w końcu pojawił się ten wyczekiwany Acrobat Reader X, co z tym sandboxem?

Czytaj dalej...

Całkiem ciekawy temat się z tego robi: Przeterminowana promocja. Dwa ostatnie ciekawe wpisy w temacie tego co jemy i naszych praw jako konsumentów z serwisu socjotechnika.net:

Jak czujecie się w roli konsumenta? Jak smakują wam kupowane przez was produkty? Jak często macie wrażenie, że coś jest produktem X tylko z nazwy i koło prawdziwego X nawet nie leżało?

Oryginał tego wpisu dostępny jest pod adresem A czy TY wiesz, co wkładasz do garnka?

Autor: Paweł Goleń

Ciekawy tekst: Changing Passwords. Przyznam się, że ja nie zmieniam swoich haseł. No, przynajmniej nie wszystkie. Uważam, że w większości przypadków zysk z takiej praktyki nie uzasadnia jej uciążliwości. Tu nawet nie chodzi o pamiętanie zmienionego hasła, pamiętać nie muszę bo korzystam z KeePass. Zmiana kilkudziesięciu haseł trwa.

Czytaj dalej...

Zdjęcie prezentowane w poprzednim wpisie moim zdaniem oddaje dość dobrze problem ze znalezieniem równowagi między bezpieczeństwem, a wygodą użytkowania. I nie dotyczy to wyłącznie IT.

Czytaj dalej...

Czy ten obraz wymaga komentarza?

Oryginał tego wpisu dostępny jest pod adresem Security vs. usability

Autor: Paweł Goleń

Dzisiaj pierwsza część rozwinięcia rozwiązania zadania XXIV z bootcamp.

Czytaj dalej...

Mój niezbyt trudny przykład doczekał się rozwiązania. Jego autorem jest ^radekk, a zobaczyć je można (podobnie jak wcześniejsze ^koto) na blipie (tag #thrts). Jak wspominałem, sam przykład nie jest specjalnie trudny, ciekawsza może być stojąca za nim historia.

Czytaj dalej...

Czasami jest tak, że niektóre żądania do serwera HTTP kończą się nagłym acz gwałtownym zakończeniem połączenia przy pomocy RST. Zdarzenie takie z dużą dozą pewności sugeruje, że do akcji wkroczył IPS. Jak wymacać, w którym miejscu sieci rzeczony IPS się znajduje?

Czytaj dalej...